Zum Inhalt springen

technische Maßnahmen

Check­lis­te Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOM) aktualisiert

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
Ver­si­on: 3.3
7997 Downloads

IT-Sicher­heit in Unter­neh­men ver­bes­sern und für mehr Daten­schutz sorgen

Daten­schutz und Datensicherheit

Daten­schutz ist gesetz­li­che Vor­schrift für Unter­neh­men aller Grö­ßen in Deutsch­land. So gibt es zwar eini­ge Rege­lun­gen, wie z.B. die Bestell­pflicht für einen sog. Daten­schutz­be­auf­trag­ten, die erst ab einer gewis­sen Mit­ar­bei­ter­zahl grei­fen, doch das ent­bin­det nicht von der Ver­pflich­tung die übri­gen Vor­schrif­ten im Unter­neh­men umzu­set­zen. Auf­grund des ste­tig zuneh­men­den Ein­sat­zes von IT stei­gen sowohl die Ansprü­che an Unter­neh­men als auch die Zahl der zu tref­fen­den Schutz­maß­nah­men durch das Unter­neh­men. Ohne aus­rei­chen­de IT-Sicher­heit ist der gesetz­lich vor­ge­schrie­be­ne Daten­schutz heu­te kaum mehr zu gewährleisten.

Klas­si­sche Brennpunkte

Ganz oben auf der The­men­lis­te ste­hen nach wie vor Klas­si­ker wie Pass­wort-Sicher­heit oder auch die Back­up-Stra­te­gie. Im Rah­men unse­rer Daten­schutz-Audits sind immer wie­der noch Kom­bi­na­tio­nen für den Sys­tem-Log­in zu fin­den wie Benut­zer­na­me = Vor­na­me und Pass­wort = Nach­na­me, sogar für Zugän­ge mit Admi­nis­tra­tor-Rech­ten. Aber auch die Rech­te und Pflich­ten des Admi­nis­tra­tors wol­len genau defi­niert und fest­ge­schrie­ben sein. Ob der Leit­satz “Back­up ist nur für Feig­lin­ge” im Fal­le eines Daten­ver­lusts wirk­lich wei­ter­hilft? Ich wage es zu bezweifeln.

Neue Tech­no­lo­gien und Verfahrensweisen

Doch neben die­sen Dau­er­bren­nern gilt es mit aktu­el­len Ent­wick­lun­gen und Trends mit­zu­hal­ten. Nut­zen Ihre Mit­ar­bei­ter eige­ne elek­tro­ni­schen Gerä­te für das Unter­neh­men wie z.B. Smart­phones, Note­book oder Pads? Dann wer­den Sie nicht dar­um her­um­kom­men, sich mit dem Begriff BYOD (Bring Your Own Device) aus­ein­an­der­zu­set­zen. Denn so char­mant das Mit­brin­gen von eige­ner Hard­ware durch Mit­ar­bei­ter sein kann, z.B. durch den Kos­ten­ein­spa­rungs­ef­fekt, so ris­kant ist der Ein­satz von nicht in die Sicher­heits­me­cha­nis­men des Unter­neh­mens ein­ge­bun­de­nen Gerä­ten im Hin­blick auf Daten­si­cher­heit und Datenschutz.

Licht ins Dun­kel bringen

Das Bun­des­mi­nis­te­ri­um für Wirt­schaft hat zur Unter­stüt­zung den IT-Sicher­heits­na­vi­ga­tor im Web ins Leben geru­fen. Hier kön­nen Unter­neh­men und Unter­neh­mer ziel­ge­nau nach Bran­che und Fra­ge­stel­lung Hil­fe in Form von Anlei­tun­gen, For­mu­lie­rungs­vor­schlä­gen und Tipp­lis­ten finden.

Alter­na­tiv spre­chen Sie doch ein­fach mit Ihrem Daten­schutz­be­auf­trag­ten? Sie haben kei­nen? Dann prü­fen Sie, ob die gesetz­li­che Bestell­pflicht für Ihr Unter­neh­men vor­liegt. Der Gesetz­ge­ber hat mit dem exter­nen Daten­schutz­be­auf­trag­ten eine kos­ten­güns­ti­ge und trans­pa­ren­te Mög­lich­keit geschaf­fen, die­ser Ver­pflich­tung nach­zu­kom­men -> Ange­bot anfor­dern. Doch selbst ohne Bestell­pflicht ste­hen wir bera­tend zu den The­men Daten­si­cher­heit und Daten­schutz für Ihr Unter­neh­men zur Ver­fü­gung. Spre­chen Sie uns ein­fach an.

Unter­neh­men sicher machen, För­der­mit­tel nutzen

Übri­gens kön­nen Tei­le unse­rer Bera­tungs­leis­tun­gen mit För­der­mit­teln aus dem ESF bezu­schusst wer­den — nut­zen Sie doch die­se Gele­gen­heit, Ihr Unter­neh­men über­prü­fen zu las­sen und siche­rer zu machen.

Melk­kuh Auftragsdatenverarbeitung

Der Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­geld­ri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.

Die mobile Version verlassen